MOVEit pažeidimas yra viena didžiausių 2023 m. išpirkos reikalaujančių programų atakų ir paveikė milijonus žmonių visame pasaulyje.
Key Takeaways
- MOVEit pažeidimas, kurį įvykdė Clop ransomware grupė, yra vienas didžiausių 2023 m. įsilaužimų, palietęs 2 659 organizacijas ir 67 mln.
- Pažeidimas išnaudojo nulinės dienos MOVEit programos pažeidžiamumą, suteikdamas užpuolikams prieigą prie slaptų duomenų, kuriuos saugo programinę įrangą naudojančios organizacijos.
- Pažeidimas smarkiai paveikė švietimo sektorių, o tarp tokių universitetų kaip John Hopkins ir Webster University. Kiti paveikti sektoriai yra sveikata, finansai ir verslas.
Ar esate vienas iš 62 milijonų žmonių, nukentėjusių nuo MOVEit pažeidimo? MOVEit pažeidimas yra vienas didžiausių 2023 m. įsilaužimų, kai „Clop ransomware“ grupė išpirko tūkstančius organizacijų ir atnešė dešimtis milijonų dolerių.
Taigi, kas yra MOVEit ransomware ataka ir kaip ji paveikė tiek daug žmonių?
Kas yra MOVEit?
MOVEit yra „Progress Software“ sukurta saugaus failų perdavimo programinė įranga ir paslauga, skirta palengvinti saugų jautrių duomenų perdavimą tarp organizacijų ir asmenų. MOVEit naudoja įmonės, vyriausybinės organizacijos, universitetai ir iš esmės bet kuris kitas subjektas saugo ir tvarko savo duomenis, todėl įmonės gali saugiai perkelti failus ir duomenis, kad juos apsaugotų iš
neteisėtos prieigos ar pažeidimų.Tačiau 2023 m. gegužę tai nustojo būti, nes „Clop“ išpirkos programų grupė įsilaužė į tūkstančius organizacijų duomenų, kurie savo duomenims naudojo MOVEIt.
Kaip įvyko MOVEit pažeidimas?
2023 m. gegužę liūdnai pagarsėjusi Clop išpirkos programų grupė išnaudojo kelis nulinės dienos MOVEIt programos pažeidžiamumus.
Nulinės dienos pažeidžiamumas yra programinės įrangos saugos trūkumas, nežinomas tiekėjui ar visuomenei ir kuriuo pasinaudoja užpuolikai, kol nebus pasiekiamas pataisymas ar pataisa. Nulinės dienos pažeidžiamumas yra ypač pavojingas, nes jomis galima labai ilgą laiką slaptai išnaudoti pardavėjui nežinant.
„Progress Software“ galiausiai ištaisė šias spragas, tačiau jau buvo per vėlu. Tuo metu, kai pažeidžiamumas nebuvo žinomas visuomenei ir pardavėjams, užpuolikai pasiekė ir pažeidė tūkstančių organizacijų, kurios naudojo MOVEit savo duomenims valdyti ir perduoti, duomenis.
Clop ransomware grupė aptiko keletą SQL injekcijos pažeidžiamumų MOVEit programoje, leidžiančią pasiekti organizacijų duomenų bazę ir atsisiųsti bei peržiūrėti duomenis. SQL injekcija yra pažeidžiamumas kai kenkėjiškas SQL kodas įterpiamas į įvesties laukus, išnaudojant duomenų bazės palaikomos programos pažeidžiamumą. Neteisėtas kodas gali manipuliuoti duomenų baze ir atskleisti ar pakeisti neskelbtiną informaciją.
SQL injekcijos pažeidžiamumas užregistruotas kaip CVE-2023-34362, CVE-2023-35036 ir CVE-2023-35708 ir buvo pataisytas atitinkamai 2023 m. gegužės 31 d., 2023 m. birželio 9 d. ir 2023 m. birželio 15 d. Visos MOVEit perdavimo programos versijos buvo pažeidžiamos dėl šių spragų. Kai naudojamas, jis leidžia neautentifikuotam užpuolikui gauti prieigą prie organizacijos MOVEIt perdavimo duomenų bazės turinio. Tai reiškia, kad užpuolikas gali atsisiųsti, keisti ar net ištrinti duomenų bazes be jokių apribojimų.
MOVEit pažeidimo poveikis
Pagal Emisoft analizę ir statistiniai duomenys apie MOVEit duomenų pažeidimą, 2023 m. lapkričio 9 d. MOVeit pažeidimas paveikė 2 659 organizacijas, ir daugiau nei 67 mln. žmonių nukentėjo nuo organizacijų, daugiausia įsikūrusių Jungtinėse Valstijose, Kanadoje, Vokietijoje ir Jungtinėje Karalystėje.
Švietimas yra labiausiai paveiktas sektorius, o daugelio universitetų duomenis šie užpuolikai siurbia. Švietimo organizacijos, paveiktos šio pažeidimo, yra Niujorko valstybinių mokyklų sistema John Hopkinso universitetas, Aliaskos universitetas ir Websterio universitetas, be kitų populiarių universitetai. Kiti sektoriai, kuriems šis pažeidimas labai paveikė, yra sveikatos sektorius, bankai, finansų įstaigos ir įmonės.
Kai kurios geriau žinomos organizacijos, paveiktos MOVEit ransomware, yra BBC, Shell, Siemens Energy, Ernst &Young ir British Airways.
202 m. rugsėjo 25 d., vadovaujanti prenatalinės, naujagimių ir vaikų registro tarnybai,GIMĖ Ontarijuje, paskelbė pareiškimą dėl MOVEit pažeidimo, kuriame atskleidžiama, kad juos paveikė MOVEit pažeidimas. Remiantis jų ataskaita, MOVEit pažeidžiamumas leido neteisėtiems kenkėjiškiems trečiųjų šalių veikėjams pasiekti ir kopijuoti asmens sveikatos informaciją, esančią BORN Ontario įrašuose, kurie buvo perkelti naudojant saugaus failų perdavimo programinę įrangą.
Reaguodama į tai, Born Ontario nedelsdama izoliavo sistemą, išjungė paveiktą serverį ir paleido tyrimą, bendradarbiaudami su kibernetinio saugumo ekspertais, siekdami išsiaiškinti rimtumą ir konkrečius duomenis pavogtas.
Į daugelį šių organizacijų buvo įsilaužta ne todėl, kad jos naudojo MOVEit programą, o todėl, kad jos globojo trečiųjų šalių pardavėjus, kurie pasinaudojo MOVEit perdavimo programa, todėl jie gavo taip pat pažeistas. Panaši situacija ir kitose organizacijose, kainuojančios milijardus dolerių už išpirkos reikalaujančius mokėjimus ir kitus saugumo pataisymus.
Jus paveikė MOVEit pažeidimas. Kas toliau?
Jei vis dar naudojate MOVEit, nedelsdami pataisykite ją į naujausią versiją, kad šie įsilaužėliai nepavogtų jūsų failų ir duomenų. Deja, internetas ir jį naudojanti programinė įranga yra linkę į įsilaužimus ir išpirkos programas, todėl jūs turite saugotis ir jūsų turtas yra apsaugotas reguliariai keisdami slaptažodžius, naudodami antivirusinę programinę įrangą ir įgalindami daugiafunkcį veiksnį autentifikavimas.
Vis dėlto, kaip rodo MOVEit pažeidimas, visa tai galite padaryti, o įsilaužėlių komanda ras dar nematytą išnaudojimą.